Era il 22 novembre scorso quando, a seguito di un attacco informatico che aveva colpito Inps Servizi Spa, un comunicato aveva prontamente rassicurato i cittadini sul fatto che non vi era stata nessuna conseguenza per i dati conservati nella struttura informatica della società in house dell’Istituto Nazionale della Previdenza Sociale che fornisce servizi amministrativi a enti e casse previdenziali pubbliche e private.

Ma anche se gli utenti avevano potuto tirare un sospiro di sollievo per lo scampato pericolo sulla loro privacy di fronte a quell’attacco scagliato dagli hacker, ogni sensazione di serenità sulla tutela della riservatezza da parte dell’Inps è presto svanita, perché i dati sensibili di migliaia di cittadini sono finiti online accessibili a chiunque, non per mano di qualche pericoloso criminale informatico ma a causa dell’errore umano. Infatti l’istituto previdenziale stavolta ha fatto tutto da solo, diffondendo incautamente sul proprio sito web i dati di oltre 5mila partecipanti a un concorso che metteva in palio 1.858 assunzioni, e se da una parte la normativa sulla trasparenza amministrativa richiede effettivamente di rendere noti i nominativi e le informazioni essenziali sui candidati ammessi e sui vincitori del concorso, sono stati però pubblicati anche altri dati che non avrebbero dovuto finire su Internet alla mercé di tutti, come i voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, l’indicazione dell’ammissione con riserva comprensiva anche delle causali relative alle condizioni di salute. Per alcuni nominativi dei candidati è stato associato pure un riferimento a “giudizi pendenti”, informazione che seppur relativa al contenzioso con l’amministrazione, ha ingenerato però l’equivoco dell’apparente sussistenza di precedenti penali degli sventurati partecipanti.

A dare notizia il 3 dicembre della violazione della privacy maldestramente commessa dall’Inps è stato il Garante per la protezione dei dati personali che, oltre a ordinare di rimuovere da Internet i dati diffusi illecitamente, ha inflitto all’istituto una sanzione amministrativa di 50mila euro per non aver rispettato il principio della “minimizzazione” previsto dal Gdpr, il quale richiede che i dati oggetti di pubblicazione debbano essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».

Nel provvedimento adottato nei confronti dell’Inps, l’Authority ha ricordato che «la pubblicazione delle graduatorie dei concorsi deve avvenire nel rispetto delle norme di settore applicabili con riguardo ai soli dati dei vincitori necessari ad assicurare la pubblicità e la trasparenza», evitando però di pubblicare ogni altra informazione non indispensabile perché – una volta messi online e indicizzati sui motori di ricerca – i dati diventano reperibili da chiunque e rimangono sul web per un tempo indefinito, con il rischio di rappresentare un quadro distorto o non più aggiornato dei diretti interessati, causando potenzialmente un impatto negativo sulla loro reputazione.

di Nicola Bernardi